GUÍA DE SEGURIDAD (CCN-STIC-802) ESQUEMA NACIONAL DE SEGURIDAD GUÍA DE AUDITORÍA

Tamaño: px
Comenzar la demostración a partir de la página:

Download "GUÍA DE SEGURIDAD (CCN-STIC-802) ESQUEMA NACIONAL DE SEGURIDAD GUÍA DE AUDITORÍA"

Transcripción

1 GUÍA DE SEGURIDAD (CCN-STIC-802) ESQUEMA NACIONAL DE SEGURIDAD GUÍA DE AUDITORÍA JUNIO 2010

2 Edita: Editor y Centro Criptológico Nacional, 2010 NIPO: Tirada: 1000 ejemplares Fecha de Edición: junio de 2010 Marina Touriño ha participado en la redacción de documento y Miguel Angel Amutio y José A. Mañas en su revisión. LIMITACIÓN DE RESPONSABILIDAD El presente documento se proporciona de acuerdo con los términos en él recogidos, rechazando expresamente cualquier tipo de garantía implícita que se pueda encontrar relacionada. En ningún caso, el Centro Criptológico Nacional puede ser considerado responsable del daño directo, indirecto, fortuito o extraordinario derivado de la utilización de la información y software que se indican incluso cuando se advierta de tal posibilidad. AVISO LEGAL Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional, bajo las sanciones establecidas en las leyes, la reproducción parcial o total de este documento por cualquier medio o procedimiento, comprendidos la reprografía y el tratamiento informático, y la distribución de ejemplares del mismo mediante alquiler o préstamo públicos. Centro Criptológico Nacional i

3 PRÓLOGO El uso masivo de las tecnologías de la información y las telecomunicaciones (TIC), en todos los ámbitos de la sociedad, ha creado un nuevo espacio, el ciberespacio, donde se producirán conflictos y agresiones, y donde existen ciberamenazas que atentarán contra la seguridad nacional, el estado de derecho, la prosperidad económica, el estado de bienestar y el normal funcionamiento de la sociedad y de las administraciones públicas. La Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, encomienda al Centro Nacional de Inteligencia el ejercicio de las funciones relativas a la seguridad de las tecnologías de la información en su artículo 4.e), y de protección de la información clasificada en su artículo 4.f), a la vez que confiere a su Secretario de Estado Director la responsabilidad de dirigir el Centro Criptológico Nacional en su artículo 9.2.f). Partiendo del conocimiento y la experiencia del CNI sobre amenazas y vulnerabilidades en materia de riesgos emergentes, el Centro realiza, a través de su Centro Criptológico Nacional, regulado por el Real Decreto 421/2004, de 12 de marzo, diversas actividades directamente relacionadas con la seguridad de las TIC, orientadas a la formación de personal experto, a la aplicación de políticas y procedimientos de seguridad, y al empleo de tecnologías de seguridad adecuadas. Una de las funciones más destacables del Centro Criptológico Nacional es la de elaborar y difundir normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las tecnologías de la información y las comunicaciones de la Administración, materializada en la existencia de la serie de documentos CCN-STIC. Disponer de un marco de referencia que establezca las condiciones necesarias de confianza en el uso de los medios electrónicos es, además, uno de los principios que establece la ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, en su artículo 42.2 sobre el Esquema Nacional de Seguridad (ENS). Precisamente el Real Decreto 3/2010 de 8 de Enero de desarrollo del fija los principios básicos y requisitos mínimos así como las medidas de protección a implantar en los sistemas de la Administración, y promueve la elaboración y difusión de guías de seguridad de las tecnologías de la información y las comunicaciones por parte de CCN para facilitar un mejor cumplimiento de dichos requisitos mínimos. En definitiva, la serie de documentos CCN-STIC se elabora para dar cumplimiento a los cometidos del Centro Criptológico Nacional y a lo reflejado en el, conscientes de la importancia que tiene el establecimiento de un marco de referencia en esta materia que sirva de apoyo para que el personal de la Administración lleve a cabo su difícil, y en ocasiones, ingrata tarea de proporcionar seguridad a los sistemas de las TIC bajo su responsabilidad. Junio de 2010 Félix Sanz Roldán Secretario de Estado Director del Centro Criptológico Nacional Centro Criptológico Nacional ii

4 ÍNDICE 1. MARCO DE REFERENCIA OBJETO DE LA AUDITORÍA DESARROLLO Y EJECUCIÓN DE LA AUDITORÍA DEFINICIÓN DEL ALCANCE Y OBJETIVO DE LA AUDITORÍA EQUIPO AUDITOR PLANIFICACIÓN PRELIMINAR DE LA AUDITORÍA PROGRAMA DE AUDITORÍA REVISIONES Y PRUEBAS DE AUDITORÍA ELABORACIÓN Y PRESENTACIÓN DE LOS RESULTADOS DE REVISIONES Y PRUEBAS DE AUDITORÍA PRESENTACIÓN DEL INFORME DE AUDITORÍA ANEXO A. REQUISITOS PARA EL EQUIPO AUDITOR ANEXO B. INCORPORACIÓN DE EXPERTOS AL EQUIPO DE AUDITORÍA ANEXO C. CONCURRENCIA CON EL TÍTULO VIII DEL RD 1720/ ANEXO D. MODELO DE ACUERDO DE CONFIDENCIALIDAD ANEXO E. GLOSARIO DE TERMINOS ANEXO F. BIBLIOGRAFÍA DE REFERENCIA Centro Criptológico Nacional iii

5 1. MARCO DE REFERENCIA 1. Esta guía establece unas pautas de carácter general que son aplicables a entidades de distinta naturaleza, dimensión y sensibilidad sin entrar en casuísticas particulares. Se espera que cada organización las particularice para adaptarlas a su entorno singular. 2. Esta guía de auditoría del se encuadra dentro de lo previsto en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, y específicamente dentro de los requisitos del artículo 34 (Auditoría de la seguridad), y del Anexo III (Auditoría de la Seguridad) del Real Decreto 3/2010 de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (RD 3/2010 en adelante). 3. Esta guía tiene el objetivo de encauzar de una forma homogénea la realización de las auditorías, ordinarias o extraordinarias, estableciendo unas premisas mínimas en su ejecución, sin que por lo tanto, ello implique una limitación en la aplicación de metodologías o esquemas de trabajo propios del equipo de auditoría y la correspondiente emisión de una opinión objetiva e independiente en el informe de auditoría, siempre que se desarrolle dentro de los objetivos y alcances requeridos por el artículo Esta auditoría es requerida, de forma ordinaria, cada dos años para los sistemas de categoría media y alta, según el Anexo I del RD 3/2010, y con carácter extraordinario, siempre que se produzcan modificaciones sustanciales en el sistema de información, que puedan repercutir en las medidas de seguridad requeridas. La realización de la auditoría extraordinaria determinará la fecha de cómputo para el cálculo de los dos años, establecidos para la realización de la siguiente auditoría regular ordinaria. 5. La trascendencia e importancia de los resultados de esta auditoría quedan reflejadas en el artículo 34, donde se establece que En el caso de los sistemas de categoría ALTA, visto el dictamen de auditoría, el responsable del sistema podrá acordar la retirada de operación de alguna información, de algún servicio o del sistema en su totalidad, durante el tiempo que estime prudente y hasta la satisfacción de las modificaciones prescritas. 6. El RD 3/2010 establece una serie de requisitos mínimos de medidas de seguridad pero, es posible, que también sean aplicables otros requisitos legales 1 que el auditor debe tener en cuenta (en la medida que no impliquen un nivel inferior de seguridad requerido por este RD 3/2010), o bien que prescriben la realización de auditorías de las medidas de seguridad pero con objetivos o bien alcances diferentes. 7. Estos requisitos de auditoría adicionales no están dentro del objeto y alcance de la auditoría requerida por el RD 3/2010. Sin embargo, en determinadas situaciones, la necesidad de una mayor eficiencia en la aplicación de los recursos (tanto de auditores como del personal involucrado en el sistema de información auditado) puede aconsejar la realización conjunta de estas auditorías. Aún en estos casos se deben aplicar las premisas mínimas de esta guía para la realización de estas auditorías. 1 Es el caso, por ejemplo, de que el sistema trate datos de carácter personal y haya que aplicar la normativa correspondiente. Centro Criptológico Nacional 4

6 2. OBJETO DE LA AUDITORÍA 8. Dar cumplimiento a lo establecido en el artículo 34 y en el Anexo III del RD 3/2010, y por lo tanto, verificar el cumplimiento de los requisitos establecidos por el RD 3/2010 en los capítulos II y III y en los Anexos I y II. 9. Emitir una opinión independiente y objetiva sobre este cumplimiento de tal forma que permita a los responsables correspondientes, tomar las medidas oportunas para subsanar las deficiencias identificadas, si las hubiera, y para satisfacerse internamente, o bien frente a terceros que pudieran estar relacionados, sobre el nivel de seguridad implantado. 10. El objetivo final de la auditoría es sustentar la confianza que merece el sistema auditado en materia de seguridad; es decir, calibrar su capacidad para garantizar la integridad, disponibilidad, autenticidad, confidencialidad y trazabilidad de los servicios prestados y la información tratada, almacenada o transmitida. 3. DESARROLLO Y EJECUCIÓN DE LA AUDITORÍA 11. Como toda auditoría de sistemas de las tecnologías de la información, que incluye normalmente, los aspectos de seguridad de los sistemas, ésta debe realizarse de una forma metodológica que permita identificar claramente: El Alcance y Objetivo de la Auditoría Los recursos necesarios y apropiados para realizar la auditoría (equipo auditor), según lo establecido en los Anexos A y B de esta guía. Las debidas comunicaciones con los responsables de la organización que soliciten la auditoría. La planificación preliminar o requisitos de información previos al desarrollo del programa de auditoría, y a la ejecución de las pruebas que se consideren necesarias. El establecimiento de un programa detallado de auditoría con las revisiones y pruebas de auditoría previstas. La presentación, de los resultados individuales de las pruebas, a las personas involucradas con estos resultados, para su confirmación sin valoraciones con respecto a los resultados finales. La evaluación global de los resultados de la auditoría en relación al objetivo y alcance definidos y a los requisitos del RD 3/2010. La confección, presentación y emisión formal del Informe de Auditoría. Centro Criptológico Nacional 5

7 12. La metodología aplicada debe permitir comprobar, a través de los registros y evidencias de auditoría, la consecución de estos pasos, las limitaciones que se hayan podido producir en el desarrollo de las tareas, y las actividades realizadas. 13. Para una consecución eficaz de la auditoría, el equipo auditor verificará que las medidas de seguridad para el sistema auditado se ajustan a los principios básicos del RD 3/2010 (artículo 4), y satisfacen los requisitos mínimos de seguridad (artículo 11) DEFINICIÓN DEL ALCANCE Y OBJETIVO DE LA AUDITORÍA 14. El alcance y objetivo de la auditoría deben estar claramente definidos, documentados y consensuados entre el equipo auditor y el órgano de las Administraciones Públicas o entidades de derecho público vinculado o dependiente (en adelante, órgano de las AAPP) que haya solicitado la auditoría, y en sintonía con el artículo 34 del RD 3/ Las auditorías podrán ser requeridas por los responsables de cada organización con competencias sobre la seguridad del sistema de información objeto de éstas. Por lo tanto, es necesario establecer con claridad antes de concretar la realización de la auditoría, el objetivo y el alcance de la misma. 16. Considerando que las redes de comunicaciones y sistemas de la administración pública, tienen interconexiones con entidades publicas y privadas, la descripción detallada del alcance de la auditoría es esencial, es decir, establecer claramente el límite hasta dónde se audita. 17. Las medidas de seguridad a auditar pueden abarcar medidas de naturaleza diversa (organizativa, física y lógica, entre otras), por lo tanto, como parte de la definición del alcance de la auditoría, es necesario antes de comenzarla, identificar los elementos que entran dentro de éste: Política de Seguridad. Valoración de la información y los servicios, junto con la determinación de la categoría del sistema. Política de Firma Electrónica y Certificados y servicios que utilizan estas técnicas. Información, servicios y demás recursos sujetos a la auditoría. Tipo de datos que se manejan así como la normativa que les sea de aplicación. Por ejemplo, datos de carácter personal. Órgano de las AAPP responsable y personal afectado por la auditoría. Conexiones externas con otros organismos públicos o privados. Centro Criptológico Nacional 6

8 Es imprescindible que se defina, preliminarmente, si existe alguna información que, por indicación del Responsable del Sistema, del Servicio o del de Seguridad, no estará accesible a los auditores, y ni siquiera al Jefe del equipo de auditoría, debiendo éste evaluar si ésta es una limitación para realizar la auditoría de acuerdo a lo previsto en el artículo 34. Si es así, y se decide continuar con el proceso de auditoria, esta limitación debe reflejarse en el Informe de Auditoría. Legislación que afecta al sistema de información auditado: si bien esta auditoría es requerida para las medidas de seguridad establecidas por el RD 3/2010, esta norma también menciona los datos de carácter personal y por lo tanto es necesario considerar la legislación aplicable a este tipo de datos. Otra legislación que pueda ser aplicable, de acuerdo con lo establecido en la Ley 6/1997, de 14 de abril, de organización y funcionamiento de la Administración General del Estado y Ley 50/1997, de 27 de noviembre, del Gobierno; los Estatutos de Autonomía, leyes autonómicas y normas de desarrollo; y la Ley 7/1985, de 2 de abril, reguladora de las bases del Régimen Local, respectivamente. 18. Para asegurar la independencia objetiva del equipo auditor, las tareas de auditoría no incluirán en ningún caso la ejecución de acciones que puedan ser consideradas como responsabilidades de consultoría o similares (implantación o modificación de software relacionado con el sistema auditado, redacción de documentos requeridos por el RD 3/2010 o procedimientos de actuación, como tampoco posibles recomendaciones de productos concretos de software, entre otros) EQUIPO AUDITOR 19. El equipo auditor deberá estar compuesto por un equipo de profesionales (Jefe del equipo de auditoría, auditores, y expertos) que garantice que se dispone de los conocimientos (de acuerdo al alcance establecido para la auditoría) suficientes para asegurar la adecuada y ajustada realización de la auditoría. En el Anexo A se establecen unos requisitos mínimos para los integrantes del equipo de auditoría. 20. Este equipo podrá estar compuesto por auditores internos y/ o externos o una combinación de ambos, pero en todo caso, es necesario cumplir con los siguientes requisitos: Si el equipo de auditoría es interno, éste deberá ser totalmente independiente de la organización, sistemas o servicios que sean o puedan ser objeto de la auditoría. Por lo tanto, el equipo de auditoría debiera pertenecer al grupo de Auditoría / Control Interno / Intervención, o a un grupo con responsabilidades similares constituido como tal, que asegure su independencia y objetividad. Centro Criptológico Nacional 7

9 Si participan auditores internos y externos, se debe establecer qué equipo es responsable de la supervisión y realización de la auditoría, y de la emisión del informe, y consecuentemente, de los resultados de la auditoría. El programa de auditoría debe establecer con claridad la responsabilidad y asignación de funciones a cada integrante del equipo auditor. Sean auditores externos o internos, o un equipo mixto, la propiedad de los documentos de trabajo y de las evidencias, así como la responsabilidad por la emisión del informe y su contenido deben ser siempre inequívocas tanto en la apertura de la auditoría, como en su informe final. Si la realización de la auditoría ha sido encargada a un equipo externo (organización privada o pública), los integrantes deberán firmar las preceptivas cláusulas de confidencialidad, incluyendo las cláusulas aplicables de la legislación de protección de datos de carácter personal. En el Anexo D de esta guía se incluye un modelo aplicable. Si la auditoría es liderada por un equipo de Auditoría Interna, pero con la incorporación de expertos independientes, estos también deben firmar una cláusula de confidencialidad. 21. El equipo auditor, en el diseño de sus pruebas y revisiones, no debe limitarse a la revisión de documentos, ya que el objetivo de la auditoría es obtener evidencias eficaces para evaluar y sustentar si, en la práctica, las medidas de seguridad auditadas son adecuadas para proteger la integridad, disponibilidad, autenticidad, confidencialidad y trazabilidad de la información tratada, almacenada o transmitida por el sistema auditado 22. Los componentes del equipo de auditoría deberán tener una formación suficiente en auditoría de sistemas de información, y en seguridad, según se establece en los requisitos mínimos reflejados en el Anexo A de esta guía. Si se considera necesario por la complejidad tecnológica o dimensiones del entorno a auditar, se podrán incorporar expertos en determinadas materias según se establece en el Anexo B. 23. El Jefe del equipo auditor deberá asegurar que: Dispone de los conocimientos técnicos necesarios para abordar la auditoría de una forma eficiente. Se realizan las acciones necesarias, en la etapa preliminar, para garantizar que todos los integrantes del equipo entienden y conocen la estructura organizativa y técnica del sistema a auditar, los servicios que presta, y el objetivo y el alcance de la auditoría. Todos los auditores conocen el RD 3/2010, y, en la medida de las tareas asignadas, los requisitos de seguridad de otra legislación aplicable, y en particular, la relativa a la protección de datos de carácter personal PLANIFICACIÓN PRELIMINAR DE LA AUDITORÍA Centro Criptológico Nacional 8

10 24. Para la realización de la auditoría es necesario realizar una planificación preliminar que, fundamentalmente, consiste en establecer los requisitos de información y documentación necesarios e imprescindibles para: Establecer y desarrollar el programa de auditoría. Concretar los conocimientos necesarios del equipo de auditoría. Definir la agenda de revisiones, reuniones y entrevistas. Definir las revisiones y pruebas a realizar. Adjudicar las tareas a los componentes del equipo de auditores y expertos. Si se realiza una auditoría conjunta con la requerida por el RD 1720/2007, en sus artículos 96 y 110, identificar qué medidas de seguridad entran en el alcance de esta última. El objetivo de eficiencia es que la revisión de una misma medida sea auditada una sola vez, teniendo en cuenta los objetivos relacionados con el RD 3/2010, y con los del RD 1720/ La documentación mínima a requerir para concretar la planificación en detalle de la auditoría del cumplimiento del RD 3/2010, es: Documentos firmados por el órgano superior correspondiente, según se establece en el RD 3/2010, que muestren el conocimiento y la aprobación formal de las decisiones en materia de política de seguridad. Organigrama de los servicios o áreas afectadas, con descripción de funciones y responsabilidades. Identificación de los responsables: de la información, de los servicios, de la seguridad y del sistema, según se contemplan en el RD 3/2010. Descripción detallada del sistema de información a auditar (software, hardware, comunicaciones, equipamiento auxiliar, ubicaciones y similares). Identificación de la categoría del sistema según el Anexo I del RD 3/2010. Niveles de seguridad definidos. La Política de Seguridad. La Política de Firma Electrónica y Certificados (si se emplean estas tecnologías). La normativa de seguridad. Descripción detallada del sistema de gestión de la seguridad y la documentación que lo sustancia. Informes de análisis de riesgos. La Declaración de Aplicabilidad. Decisiones adptadas para gestionar los riesgos. Relación de las medidas de seguridad implantadas. Relación de registros de actividad en lo relativo a las medidas de seguridad implantadas. Informes de otras auditorías previas de seguridad relacionados con los sistemas y servicios incluidos en el alcance de la auditoría, como podría ser, el informe de la auditoría bienal de protección de datos de carácter personal, o de auditorías previas con el mismo objetivo y alcance que la auditoría a comenzar. Centro Criptológico Nacional 9

11 Informes de seguimiento de deficiencias detectadas en auditorías previas de seguridad, y relacionadas con el sistema a auditar. Lista de proveedores externos cuyos servicios se ven afectados o entran dentro del alcance de la auditoría, y evidencias del control realizado sobre estos servicios. 26. Según la disponibilidad de esta documentación, y de acuerdo con los responsables de la información, del servicio y del responsable de seguridad, el Jefe del equipo de auditoría determinará si es necesario recibir una copia, o bien, según el caso, es suficiente con una presentación de esta documentación, por parte de estos responsables. 27. No obstante, es aconsejable para una planificación ajustada de las pruebas en detalle, que se pueda disponer de copias (en soporte papel o electrónico) de alguna de ellas como evidencia, o para facilitar la planificación de las pruebas y asignación de tareas a los integrantes del equipo auditor. En todos los casos el equipo auditor mantendrá una lista actualizada de la documentación solicitada y su situación en cuanto a si fue recibida una copia, o se permitió el acceso para su revisión PROGRAMA DE AUDITORÍA 28. Cada entorno a auditar será diferente y con sus propias configuraciones y estructura organizativa, por lo tanto, es necesario tenerlas en cuenta a la hora de: a) diseñar las revisiones y pruebas de auditoría, b) definir en qué consistirá cada una de ellas, y c) establecer los recursos necesarios (del equipo de auditoría y de los servicios auditados). 29. Para la planificación de la auditoría se tendrán en cuenta las siguientes premisas: Los criterios organizativos del órgano responsable del sistema auditado y la descripción de las funciones del personal afectados por este sistema. Los elementos de la seguridad que pueden auditarse mediante la revisión de documentación, observación, y/ o entrevistas. En el caso concreto de realizar simultáneamente la auditoría requerida por el RD 1720/2007, es necesario identificar la documentación específica para esta auditoría, adicionalmente a la necesaria para la auditoría del RD 3/2010, como por ejemplo, el Documento de Seguridad aplicable. La selección de medidas de seguridad a verificar en cuanto a su cumplimiento tal y como han sido aprobadas. Las revisiones que deberían realizarse mediante la ejecución de pruebas técnicas (accesos, visualización de registros, edición de parámetros de seguridad, observación y fotografía, si es aplicable, de las medidas de seguridad física, etc.), estableciendo muestras de elementos a revisar. El objetivo, en este caso, es comprobar el cumplimiento y la observancia de determinadas normas de seguridad. Centro Criptológico Nacional 10

12 Dado que el RD 1720/2007 requiere, en ocasiones, determinadas medidas de seguridad, que es posible que no se contemplen en las medidas de seguridad adoptadas, como resultado del análisis de riesgos según los requisitos del RD 3/2010, estas medidas deben ser identificadas para verificar su cumplimiento, como por ejemplo la verificación mensual de los registros de acceso. Las pruebas podrán realizarse en base a muestras, pero el equipo auditor debe sustentar que la muestra de elementos seleccionada para una prueba determinada, es suficientemente representativa, para garantizar la solvencia de los resultados. Las evidencias que se espera obtener en cada prueba y cuáles son ineludibles para documentar la realización de la prueba. Asignación de tareas a cada integrante del equipo de auditoría según su cualificación y experiencia, y asignación de tareas a los expertos. Deberá dejarse constancia de la supervisión de su trabajo. Si existen informes recientes de auditoría previas (internas o externas) que hayan incluido la revisión de elementos afectados por la presente auditoría, estos podrán considerarse en la planificación y no repetir pruebas, siempre y cuando: De acuerdo a la información inicial recibida, no se hayan modificado las medidas de seguridad, y se pueda tener acceso a las evidencias de las pruebas realizadas en su momento. Si las medidas se han modificado, por cualquier circunstancia, ya sea por razones de mejora continua, o para solventar deficiencias identificadas en la auditoría anterior, la medida de seguridad se volverá a revisar. Estas auditorías previas hayan tenido el grado de independencia objetiva y cualificación, similar al requerido para la realización de la auditoría del RD 3/ Los elementos a incluir en la planificación de la auditoría, como elementos mínimos a considerar son los siguientes, teniendo como referencia asimismo el Anexo II del RD 3/2010: Análisis y Gestión de riesgos. Tipos de pruebas: sustentación metodológica del análisis de riesgos realizado, su coherencia y documentación, y verificación del inventario de activos. Para ello el equipo auditor puede basarse en la norma UNE Metodología de análisis y gestión de riesgos de los sistemas de información. En este apartado no es de aplicación la selección de muestras. El marco organizativo y la segregación de funciones. Tipos de pruebas: documentación de las políticas y procedimientos (accesibilidad por el personal al que afecta y actualización); la comunicación de las normas, de las responsabilidades y de la concienciación del personal afectado sobre estas normas, políticas y Centro Criptológico Nacional 11

13 procedimientos. Se recomienda que a los efectos de una evaluación más representativa, se entreviste no solo a cargos jerárquicos, sino también a otro personal de forma aleatoria. El marco operacional (Control de Accesos, Explotación, Servicios Externos, Continuidad del Servicio, y Monitorización del Sistema). Tipos de pruebas: evaluación, entre otros, de las pruebas fehacientes de la continuidad del servicio, con inclusión o no de los servicios externos; las autorizaciones y solicitudes de acceso, el registro y seguimiento de los incidentes de seguridad; la adecuación de los derechos de acceso que consideren la segregación de funciones, evaluación del control de capacidad de los sistemas, los mecanismos de control para el acceso físico, etc. La Declaración de Aplicabilidad que recoge las medidas de seguridad del Anexo II que son relevantes para el sistema de información sujeto a la auditoría. Asimismo, si se realiza una auditoría simultánea según los requisitos del RD 1720/2007, es necesario que los auditores identifiquen las medidas establecidas para el cumplimiento específico de esta norma. Tipos de pruebas: la revisión de los registros de actividad, su revisión y supervisión; fortaleza de las medidas de seguridad de las comunicaciones frente a ataques internos o externos, control de cambios en aplicaciones y sistemas, cumplimiento de contratos de propiedad intelectual, etc. Los procesos de mejora continua de la seguridad. Tipos de pruebas: evaluar el ciclo de madurez del sistema de gestión de la seguridad del sistema de información auditado, criterios para la revisión y agenda de mejoras. La aplicación de los modelos de cláusula administrativa particular a incluir en las prescripciones administrativas de los contratos correspondientes (según una muestra seleccionada de estos). 31. Para definir la tipología de pruebas a realizar (verificación de las medidas de seguridad), el equipo auditor puede utilizar guías, y cuestionarios de auditoría disponibles en asociaciones y colectivos de auditores, y las guías STIC proporcionadas por el CCN que sean de aplicación al sistema auditado. Estas guías pueden ser una buena base para, dentro del alcance de la auditoría, diseñar pruebas adecuadas, manteniendo siempre un criterio analítico y de proporcionalidad. En el Anexo E se incluyen referencias de estas guías. 32. El Jefe del equipo auditor debe valorar qué información o documentación es necesaria solicitar al comienzo de la auditoría, para asegurar que se tiene una fotografía fiel de determinadas medidas de seguridad al comienzo de la misma, como pueden ser, entre otros posibles y según se considere aplicable: Lista del personal que ha dejado el organismo recientemente. Copia del registro de incidencias Centro Criptológico Nacional 12

14 Copia del registro de actividad de los usuarios Registros de formación del personal afectado por el sistema auditado. 33. Este tipo de evidencias puede asistir al auditor en la evaluación de si determinadas medidas de seguridad se han realizado consistente y homogéneamente. 34. Durante la definición de las pruebas a realizar, se valorará si es necesario solicitar cuentas de acceso al sistema auditado para algunos integrantes del equipo auditor REVISIONES Y PRUEBAS DE AUDITORÍA 35. Para la realización de las pruebas de auditoría, el auditor tendrá en cuenta como normas generales, las siguientes premisas: La planificación de las pruebas a realizar, especialmente las de observación y pruebas técnicas, es un elemento privativo del equipo auditor. Por lo tanto, éste no tiene obligación de anticiparlas al personal auditado, excepto en lo que concierne a la agenda o disponibilidad de elementos para la ejecución de la prueba. En la realización de determinadas pruebas como la verificación documental de autorizaciones, aprobaciones o contratos, el auditor podrá requerir la revisión de los documentos. Estos documentos, bien en soporte electrónico o en papel, podrán ser originales o constituir alguno de los tipos de copia previstos en las Normas Técnicas de Interoperabilidad, en relación a la evidencia a la que deban servir a efectos de verificación (por ejemplo, en el caso en que, determinado documento, pueda servir como evidencia de una conclusión a incorporar en el informe de auditoría). La muestra seleccionada de medidas o documentación debe ser suficiente y relevante para satisfacerse del cumplimiento objetivo de la prueba, dentro del alcance y objetivo de la auditoría. El Jefe del equipo de auditoría puede decidir que se amplíe la muestra si considera que el tamaño de esta no es suficiente. El equipo auditor no prejuzgará, a priori, en la existencia de determinadas medidas, ni será inflexible en su funcionalidad. Al evaluar las medidas existentes deberá siempre considerar, objetivamente, si se ajustan a lo previsto por el RD 3/2010 y si previenen realmente los riesgos identificados en el Análisis de Riesgos. Ante la ausencia de determinada medida, se investigará y analizará si existen otras medidas compensatorias, y en su caso, se evaluará la eficacia de estas últimas. Las entrevistas no se plantearán de forma inductiva (conducir a una contestación concreta), sino abiertas (cómo se realiza determinada actividad o se concreta en la práctica determinada medida de seguridad). Es decir: no se deben realizar preguntas donde la respuesta, afirmativa o negativa según el caso, esté implícita en la pregunta. Se ponderarán las respuestas de las entrevistas, pudiendo haber lugar a la realización de pruebas complementarias que no estaban previstas. Centro Criptológico Nacional 13

15 36. Para las evidencias de las pruebas el auditor tendrá en cuenta como normas generales, las siguientes: El Jefe del equipo auditor deberá supervisar todo el trabajo realizado y comprobar que se ha llevado a cabo el programa de auditoría previsto y aprobado, y que las desviaciones al programa, o sus modificaciones, están debidamente fundamentadas, y registradas. La evidencia recogida debe ser suficiente y relevante para que: o si no hay incidencias a comunicar, se acredite la realización adecuada de la prueba y sus resultados. o si hay incidencias a incluir en el informe, se sustente claramente el incumplimiento persistente o una indiscutible deficiencia de seguridad, y no aquellas situaciones excepcionales o puntuales, si están reportadas, controladas, y aprobadas, a menos que la excepcionalidad no debiera haber sido aprobada, por el riesgo que pudiera implicar, según el juicio objetivo y sustentado del auditor. La revisión de documentación (incluyendo el análisis de riesgos) deberá documentarse con las conclusiones de la revisión, y las posibles aclaraciones recibidas posteriormente. Las conclusiones o información recogida en una entrevista, para poder ser consideradas como evidencias de auditoría, deberán ser plasmadas en actas comunicadas a las personas entrevistadas. Los correos electrónicos, en la medida que involucre a varias personas dentro del alcance de la auditoría, y se disponga del acuse de recibo, pueden servir, en determinados casos, también como prueba de auditoría. Las pruebas de observación (por ejemplo seguridad física) deberán estar documentadas ya sea a través de fotografías, documentación similar, o comunicaciones escritas puntuales 2 al Responsable de Seguridad. Las evidencias que se recojan deben evitar, en lo posible, contener datos de carácter personal, o si es necesario como evidencia, que los contengan, debe utilizarse algún mecanismo (supresión, tachado, etc.) que impida su divulgación. Las evidencias que haya que presentar a requerimiento de quien tenga competencias para solicitarlas, deberan acogerse a la práctica habitual y en particular, si de trata de 2 Cuando el auditor, en el curso de sus observaciones, descubre una irregularidad significativa de fácil resolución, puede informar inmediatamente al responsable de seguridad para que tome las medidas correctivas oportunas sin esperar al informe final de auditoría. Estas comunicaciones deben quedar documentadas e incorporarse al conjunto de evidencias que fundamentan las conlcusiones de la auditoría. Centro Criptológico Nacional 14

16 evidencias electrónicas, deberán someterse a las Normas Técnicas de Interoperabilidad que resulten de aplicación. Los documentos de trabajo del auditor (planificación, documentación revisada, evidencias, actas de reuniones, listados, copias de pantallas, y evidencias similares del trabajo realizado, ya sean en soporte papel o electrónico) deberán mantenerse como mínimo durante los dos siguientes años, debidamente referenciados y archivados, así como custodiados y protegidos ELABORACIÓN Y PRESENTACIÓN DE LOS RESULTADOS DE REVISIONES Y PRUEBAS DE AUDITORÍA 37. El objetivo principal de la presentación de los resultados de las revisiones y pruebas, antes de la emisión del informe de auditoría, es confirmar los hechos y las situaciones detectadas o identificadas como resultado de las pruebas y revisiones realizadas. Esta presentación tendrá un carácter aséptico, sin valoraciones subjetivas, ni aludiendo a la valoración de los resultados finales a plasmar en el informe, que es la opinión profesional del auditor. 38. Esta presentación es fundamental para la eficacia del informe de auditoría posterior, al confirmar que los resultados, de las revisiones y las pruebas, son ciertos, y que no existe otra información, que por no haber sido considerada o no estar disponible en su momento, podría cambiar la evaluación del cumplimiento de determinado requisito de seguridad. 39. Todos los resultados de pruebas, relacionados entre sí o que se refieran a una misma deficiencia o debilidad, serán agrupados para el informe, aún cuando se incluya un detalle de las deficiencias de forma individual, en un anexo al Informe de Auditoría. 40. En relación a los requisitos del Título VIII del RD 1720/2007, cuando haya una divergencia contrastable entre la aplicación de estos y los del RD 3/2010, resultando un incumplimiento del primero, se debe indicar con claridad esta situación, ya que los requisitos del RD 1720/2007 son prioritarios, como desarrollo de una ley orgánica (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal). 41. Si bien el objetivo principal es la verificación del cumplimiento aceptable del RD 3/2010, el equipo auditor deberá tener en cuenta que estos requisitos son mínimos y por lo tanto, si observara alguna deficiencia que puede implicar riesgos en la protección de la información, deberá comunicarlo PRESENTACIÓN DEL INFORME DE AUDITORÍA 42. Una vez confirmados los hechos y deficiencias resultados de las revisiones y pruebas de auditoría, este informe deberá presentarse al Responsable del Sistema y al Responsable de Seguridad. Según el RD 3/2010 los informes de auditoría serán analizados por el Centro Criptológico Nacional 15

17 responsable de seguridad competente, que elevará las conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas. 43. El equipo auditor no entregará ni concederá acceso al informe de auditoría a terceros distintos de los indicados en el párrafo anterior, salvo por imperativo legal o mandato judicial. 44. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas exigidas por el RD 3/2010, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas. 45. El informe incluirá las no conformidades encontradas durante la realización de la auditoría 46. El informe incluirá una opinión sobre si: La Política de Seguridad define los roles y funciones de los responsables de la información, los servicios, los activos y la seguridad del sistema de información. Existen procedimientos para la resolución de conflictos entre dichos responsables. Se han designado personas para dichos roles a la luz del principio de separación de funciones. Existe un sistema de gestión de la seguridad de la información, documentado y con un proceso regular de aprobación por la dirección. Se ha realizado un análisis de riesgos, con revisión y aprobación regular, según lo establecido en las medidas aplicables del Anexo II del RD 3/2010. Se cumplen las medidas de seguridad descritas en el Anexo II, sobre Medidas de Seguridad, en función de las condiciones de aplicación en cada caso. Existe un sistema de gestión de mejora continua. Si la auditoría se realizara conjuntamente con la requerida por el RD 1720/2007 en sus artículos 96 y 110, es necesario que el informe indique con claridad cuando una deficiencia de seguridad o incumplimiento, o una mejora recomendada está, individualmente, relacionada con ambas normas, o bien con una en concreto. 47. El Informe de Auditoría se puede presentar en formato audiovisual. No obstante, este informe siempre deberá entregarse en soporte papel y debidamente firmado, o bien en soporte electrónico con firma electrónica. El esquema del informe incluirá como mínimo: Fecha de emisión del informe Una sección de alcance, limitaciones al alcance, y objetivo de la auditoría, con la debida identificación del sistema auditado. Breve descripción del proceso metodológico aplicado para realizar la auditoría. Centro Criptológico Nacional 16

18 Identificación de la documentación revisada. Identificación de la tipología de pruebas realizadas. Las fechas (de comienzo y final del trabajo de campo, ya sean reuniones como revisiones técnicas) en que se ha realizado el trabajo de auditoría Indicación de si ha habido alguna limitación en la realización de las pruebas o revisiones, que impidan dar una opinión sobre determinados elementos de seguridad. Una sección de informe ejecutivo resumiendo los aspectos más relevantes o las áreas de acción más significativas, con un resumen general del grado de cumplimiento. Las recomendaciones en ningún caso deberán ser cerradas, sino sugerencias de las distintas alternativas posibles, cuando sea aplicable, a considerar por los responsables de seguridad. Las recomendaciones estarán siempre basadas en la existencia de un riesgo y sustentadas debidamente, o bien relacionadas con un incumplimiento fehaciente y preciso de los requisitos básicos y mínimos del RD 3/2010. En anexos se podrán describir los detalles y resultados de las pruebas que permiten llegar a las conclusiones del informe ejecutivo, agrupándolos por los apartados del informe ejecutivo. El informe también podrá incluir como anexo las contestaciones del Responsable de Seguridad a los comentarios vertidos en el informe, o las acciones que se tomarán para solucionar las deficiencias, si las hubiera. El Informe de Auditoría deberá ser firmado por el Jefe del equipo de auditoría, e indicar los participantes en el equipo de auditoría en un anexo o a continuación de la firma del Jefe del equipo. 48. En el informe ejecutivo no se incluirán términos o acrónimos informáticos, ya que el informe podrá ser leído por directores y gerentes, o terceros, que no tengan el conocimiento informático adecuado. Tampoco se deberán incluir nombres de personas concretas, solo funciones o puestos desempeñados. Centro Criptológico Nacional 17

19 ANEXO A. REQUISITOS PARA EL EQUIPO AUDITOR 1. El equipo de auditores deberá estar dirigido y tutelado siempre por un Jefe del equipo de auditoría, cuyas funciones principales son las de supervisión de todo el proceso de auditoría, y responsable de la exactitud de los hechos y recomendaciones mencionados en el informe, y también de preservar las evidencias de la auditoría. 2. El Jefe del equipo de auditoría, responsable de gestionar las tareas de auditoría, deberá probar como mínimo: Acreditación de formación y experiencia en auditoría de sistemas de información, a través de certificaciones reconocidas a nivel nacional e internacional, o bien a través de experiencia verificable y evidenciada de al menos 4 años, en auditoría de tecnologías de la información. Conocimientos de seguridad y gestión de riesgos de seguridad (certificación y experiencia probada de al menos 4 años en estos elementos). Conocimiento de los requisitos del RD 3/2010. Conocimientos de otra legislación aplicable relativa a la protección de datos de carácter personal, y al acceso electrónico de los ciudadanos a los Servicios Públicos, y el RD 4/2010 de 8 de enero Esquema Nacional de Interoperabilidad, entre otros. 3. El resto del equipo, puede no cumplir con los requisitos para el Jefe del equipo de auditoría, no obstante debe tener alguna preparación previa tanto en seguridad como en auditoría de los sistemas de información, dependiendo de, y en consonancia, con las responsabilidades asignadas. La responsabilidad por la asignación de tareas al resto del equipo, incluyendo a los expertos, corresponde a la organización (privada o pública) que aporte el equipo de auditoría. 4. En ningún caso los integrantes del equipo auditor, deben haber participado o detentado responsabilidades previas a la auditoría, al menos en los dos últimos años, en el sistema de información auditado. 5. Todos los integrantes del equipo de auditoría, especialmente si son externos y los expertos, deberán haber firmado antes de comenzar la auditoría, un acuerdo de confidencialidad según el modelo del Anexo D. Centro Criptológico Nacional 18

20 ANEXO B. INCORPORACIÓN DE EXPERTOS AL EQUIPO DE AUDITORÍA 1. En el desarrollo de las tareas de auditoría, los auditores tendrán que revisar temas tecnológicos diversos, como los relacionados con las transmisiones electrónicas, sistemas abiertos o propietarios, mecanismos de cifrado, firma electrónica, gestión de documentos electrónicos, planes de continuidad, seguridad de las comunicaciones, u otros de naturaleza análoga. Por esta razón, una vez analizada la complejidad tecnológica, es posible que el Jefe del equipo auditor considere necesaria la incorporación de expertos en determinadas materias. 2. Entre estos expertos también es posible que sea necesario incluir profesionales con perfiles especializados tales como:! expertos con conocimientos jurídicos,! expertos en Procedimiento Administrativo,! expertos en Archivística, gestión documental y conservación a largo plazo,! expertos con conocimientos relativos a la gestión de documentos y archivos electrónicos,! y otros que se estimen pertinentes en función del sistema auditado. 3. Las necesidades de conocimiento de estos expertos dentro del equipo auditor, las establecerá el Jefe del equipo auditor, en el momento de definir los recursos necesarios para la realización de la auditoría. 4. Estos expertos estarán sujetos a las mismas reglas de la auditoría que el resto del equipo auditor (planificación, evidencias de auditoría, supervisión por el Jefe del equipo de auditoría, y cláusulas de confidencialidad), pero no es necesario que detente las mismas cualificaciones requeridas para un auditor según el Anexo A. 5. En ningún caso estos expertos, deben haber participado o desempeñado responsabilidades previas a la auditoría, al menos en los dos últimos años, en el sistema de información auditado, o bien haber sido consultores, para ese sistema, en el proceso de implantación de los requisitos del RD 3/2010. Centro Criptológico Nacional 19

Aspectos prácticos de implementación del Esquema Nacional de Seguridad

Aspectos prácticos de implementación del Esquema Nacional de Seguridad Aspectos prácticos de implementación del Esquema Nacional de Seguridad 1 Contenidos Recordatorio rápido de la estructura del ENS Sobre la auditoría de seguridad en el ENS Las guías 800 del Centro Criptológico

Más detalles

LA AUDITORÍA DE SEGURIDAD DEL ENS

LA AUDITORÍA DE SEGURIDAD DEL ENS LA AUDITORÍA DE SEGURIDAD DEL ENS La auditoría de Seguridad en el Esquema Nacional de Seguridad Índice Dónde se regula la auditoría del ENS Qué es una auditoría Cuál es la finalidad de la auditoría Quién

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UC

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UC POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UC Exposición de motivos La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos establece el marco de relación entre

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PLAN DE ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PLAN DE ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PLAN DE ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD El Pleno de la Corporación, en sesión ordinaria celebrada el día 17 de enero de 2014, adoptó, entre otros,

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL Aprobado por Consejo de Gobierno de la Universidad de Almería en fecha 17 de diciembre de 2012 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL 1. INTRODUCCIÓN La Política de Seguridad de la Información

Más detalles

MODELO DOCUMENTO DE SEGURIDAD

MODELO DOCUMENTO DE SEGURIDAD MODELO DOCUMENTO DE SEGURIDAD Responsable del Fichero...... Nombre del Fichero...... Nº de Inscripción... Nº de la Versión... Fecha... ÍNDICE 1. Objeto del documento 2. Ámbito de aplicación 3. Recursos

Más detalles

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Vicerrectorado de TIC, Calidad e Innovación Centro de Informática y Comunicaciones Título Entregable Nombre

Más detalles

Tenemos que tener en cuenta que los principales objetivos del ENS son:

Tenemos que tener en cuenta que los principales objetivos del ENS son: Plan de Adecuación al Esquema Nacional de Seguridad en el Servicio de Modernización Administrativa y Nuevas Tecnologías de la Información de la La Ley 11/2007, de 22 de junio, de acceso electrónico de

Más detalles

GUÍA DE SEGURIDAD (CCN-STIC-801) ESQUEMA NACIONAL DE SEGURIDAD RESPONSABILIDADES Y FUNCIONES

GUÍA DE SEGURIDAD (CCN-STIC-801) ESQUEMA NACIONAL DE SEGURIDAD RESPONSABILIDADES Y FUNCIONES GUÍA DE SEGURIDAD (CCN-STIC-801) ESQUEMA NACIONAL DE SEGURIDAD RESPONSABILIDADES Y FUNCIONES FEBRERO 2011 Edita: Editor y Centro Criptológico Nacional, 2011 NIPO: 075-11-053-3 Tirada: 1000 ejemplares Fecha

Más detalles

Gestionando la seguridad de la información T14: Esquema Nacional de Seguridad y las Administraciones Públicas (2ª parte)

Gestionando la seguridad de la información T14: Esquema Nacional de Seguridad y las Administraciones Públicas (2ª parte) Gestionando la seguridad de la información T14: Esquema Nacional de Seguridad y las Administraciones Públicas (2ª parte) José Angel Valderrama Antón Gerente de Nuevas Tecnologías AENOR Índice 1. El Esquema

Más detalles

Política de Seguridad de la Información

Política de Seguridad de la Información Política de Seguridad de la Información Índice 1 APROBACIÓN Y ENTRADA EN VIGOR... 3 2 OBJETIVOS Y MISIÓN DEL AYUNTAMIENTO... 3 3 OBJETIVOS Y MISIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. 3 4 ALCANCE...

Más detalles

GUÍA de Seguridad de Datos 1

GUÍA de Seguridad de Datos 1 GUÍA de Seguridad de Datos 1 Indice GUÍA MODELO DEL DOCUMENTO DE SEGURIDAD INTRODUCCIÓN MODELO DE DOCUMENTO DE SEGURIDAD 1. ÁMBITO DE APLICACIÓN DEL DOCUMENTO 2. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS

Más detalles

GUÍA de Seguridad de Datos 1

GUÍA de Seguridad de Datos 1 GUÍA de Seguridad de Datos 1 Indice GUÍA MODELO DEL DOCUMENTO DE SEGURIDAD INTRODUCCIÓN MODELO DE DOCUMENTO DE SEGURIDAD 1. ÁMBITO DE APLICACIÓN DEL DOCUMENTO 2. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS

Más detalles

ESQUEMA NACIONAL DE SEGURIDAD ENS. Estado de situación y retos próximos

ESQUEMA NACIONAL DE SEGURIDAD ENS. Estado de situación y retos próximos ESQUEMA NACIONAL DE SEGURIDAD ENS. Estado de situación y retos próximos 6 de marzo de 2012 Miguel A. Amutio Gómez Jefe de Área de Planificación y Explotación Ministerio de Hacienda y Administraciones Públicas

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Ref. ENS/01. Política de Seguridad UPCT Revisión: 3 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 1. ENTRADA EN VIGOR Texto aprobado el día 13 de abril de 2011 por el Consejo de Gobierno de la Universidad Politécnica

Más detalles

Auditoría de Protección de Datos (LOPD 15/99)

Auditoría de Protección de Datos (LOPD 15/99) Auditoría de Protección de Datos (LOPD 15/99) www.adhec.info Plan de actuaciones Metodología 3 Proceso de adaptación a la LOPD 5 Auditoría de adaptación a la LOPD 6 Auditoría UNE-ISO/IEC 17799:2002 y certificación

Más detalles

Norma de Seguridad: Cláusulas LOPD con acceso a datos, de los que la Diputación Foral de Bizkaia es encargada de tratamiento

Norma de Seguridad: Cláusulas LOPD con acceso a datos, de los que la Diputación Foral de Bizkaia es encargada de tratamiento 1. OBJETO 2. ALCANCE Cumplimiento del artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, y el artículo 21 del Real Decreto 1720/2007 (LOPD). Todos

Más detalles

Una Inversión en Protección de Activos

Una Inversión en Protección de Activos DERECHO A LA INTIMIDAD Le ayudamos a garantizar y proteger las libertades públicas y los derechos fundamentales de las personas físicas SEGURIDAD DE LA INFORMACION Auditoria Bienal LOPD Una Inversión en

Más detalles

GUÍA DE SEGURIDAD DE LAS TIC (CCN-STIC-850A) IMPLEMENTACIÓN DEL ESQUEMA NACIONAL DE SEGURIDAD EN WINDOWS 7 (CLIENTE MIEMBRO DE DOMINIO)

GUÍA DE SEGURIDAD DE LAS TIC (CCN-STIC-850A) IMPLEMENTACIÓN DEL ESQUEMA NACIONAL DE SEGURIDAD EN WINDOWS 7 (CLIENTE MIEMBRO DE DOMINIO) GUÍA DE SEGURIDAD DE LAS TIC (CCN-STIC-850A) IMPLEMENTACIÓN DEL ESQUEMA NACIONAL DE SEGURIDAD EN WINDOWS 7 (CLIENTE MIEMBRO DE DOMINIO) AGOSTO 2014 Edita: Centro Criptológico Nacional, 2014 NIPO: 002-14-039-9

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 1. ENTRADA EN VIGOR Esta Política de Seguridad de la Información entrará en vigor al día siguiente de su publicación en el BOUA, previa aprobación por el Consejo

Más detalles

MINISTERIO DE HACIENDA

MINISTERIO DE HACIENDA SECRETARIA DE ESTADO DE NORMA TECNICA PARA LA EVALUACION DE LA CALIDAD EN LAS AUDITORÍAS Y ACTUACIONES DE CONTROL FINANCIERO SECRETARIA DE ESTADO DE INDICE Página 1. Objeto de la norma 3 2. Organo competente

Más detalles

Leopoldo Simó Ruescas Sbdi Subdirector General ladjunto de If Infraestructuras y Sistemas

Leopoldo Simó Ruescas Sbdi Subdirector General ladjunto de If Infraestructuras y Sistemas Cumplimiento de requisitos legales Ministerio de Trabajo e Inmigración Subdirección General de Proceso de Datos Leopoldo Simó Ruescas Sbdi Subdirector General ladjunto de If Infraestructuras y Sistemas

Más detalles

AYUNTAMIENTO DE POZOBLANCO

AYUNTAMIENTO DE POZOBLANCO ORDENANZA REGULADORA DEL USO DE MEDIOS ELECTRÓNICOS PARA LA GESTIÓN Y RESOLUCIÓN DE PROCEDIMIENTOS ADMINISTRATIVOS EN EL AYUNTAMIENTO DE POZOBLANCO Por acuerdo adoptado por el Excmo. Ayuntamiento Pleno

Más detalles

CONSEJERÍA DE EMPLEO. Secretaría General Técnica

CONSEJERÍA DE EMPLEO. Secretaría General Técnica PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL APOYO A LA ADMINISTRACIÓN DE SERVIDORES DE BASE DE DATOS ORACLE Y MÁQUINAS SERVIDORAS CON SISTEMA OPERATIVO UNIX DE LA CONSEJERÍA DE EMPLEO DE LA JUNTA DE ANDALUCÍA

Más detalles

MANUAL DE MEDIO AMBIENTE

MANUAL DE MEDIO AMBIENTE Portada Revisión 01 Página 1 de 1 PORTADA MANUAL DE MEDIO AMBIENTE ELABORADO POR: REVISADO POR: APROBADO POR: Manel Sarquella Jefe de Calidad y Medio Ambiente Joan Vilella Director Técnico. Fernando Turró

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE AUDITORÍA INTERNA Versión 05 Diciembre 2008 INDICE Introducción...

Más detalles

Cómo hacer coexistir el ENS con otras normas ya

Cómo hacer coexistir el ENS con otras normas ya Cómo hacer coexistir el ENS con otras normas ya implantadas? Esquema Nacional de Seguridad Mª Elísabeth Iglesias Consultora / Auditora AUDEDATOS GESDATOS Software - GeConsulting Índice 1. Introducción

Más detalles

PLIEGO DE PRESCRIPCIONES TÉCNICAS PARTICULARES PARA LA CONTRATACIÓN DE

PLIEGO DE PRESCRIPCIONES TÉCNICAS PARTICULARES PARA LA CONTRATACIÓN DE VICECONSEJERÍA DE PRESUPUESTOS Y ADMINISTRACIÓN PÚBLICA PLIEGO DE PRESCRIPCIONES TÉCNICAS PARTICULARES PARA LA CONTRATACIÓN DE LA ADECUACIÓN A LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

Más detalles

LKS TASACIONES, S.A.U. Reglamento interno de conducta

LKS TASACIONES, S.A.U. Reglamento interno de conducta Reglamento interno de conducta Fecha 27 de noviembre de 2014 ÍNDICE 1. ANTECEDENTES... 3 2. ÓRGANO QUE APRUEBA EL REGLAMENTO... 4 3. DEFINICIONES... 5 4. ÁMBITO DE APLICACIÓN... 8 5. PRINCIPIOS Y OBJETIVOS...

Más detalles

PLIEGO DE PRESCRIPCIONES TÉCNICAS QUE HA DE REGIR LA EJECUCIÓN DEL CONTRATO SERVICIO

PLIEGO DE PRESCRIPCIONES TÉCNICAS QUE HA DE REGIR LA EJECUCIÓN DEL CONTRATO SERVICIO Ref: 08/062516.9/14 PLIEGO DE PRESCRIPCIONES TÉCNICAS QUE HA DE REGIR LA EJECUCIÓN DEL CONTRATO SERVICIO DE APOYO PARA LA ASIGNACIÓN DE PLAZAS DE RESIDENCIA Y CENTROS DE DÍA PARA BENEFICIARIOS RECONOCIDOS

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE CAPACITACIÓN Versión 05 Diciembre 2008 INDICE Introducción... 3

Más detalles

Protección de Datos y Adecuación al Esquema Nacional. Puntos de encuentro y diferencias entre las normativas

Protección de Datos y Adecuación al Esquema Nacional. Puntos de encuentro y diferencias entre las normativas Protección de Datos y Adecuación al Esquema Nacional Puntos de encuentro y diferencias entre las normativas Acerca de Oesía CONSULTORÍA TECNOLÓGICA Desarrollo de software Seguridad Movilidad Business Intelligence

Más detalles

ISO-LOPD - Integración LOPD en Sistemas de Gestión

ISO-LOPD - Integración LOPD en Sistemas de Gestión T24: Impacto de la falta de seguridad en el negocio! Tomás Arroyo Salido Gerente Seguridad de la Información NOVOTEC CONSULTORES www.novotec.es Introducción Funciones de la Oficina Técnica del Responsable

Más detalles

INTRODUCCIÓN CONTENIDO

INTRODUCCIÓN CONTENIDO Página 1 de 9 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto Reglamentario 1377 de 2013 el cual recoge las medidas de índole técnica

Más detalles

REGLAMENTO DEL ARCHIVO GENERAL DEL CEU

REGLAMENTO DEL ARCHIVO GENERAL DEL CEU REGLAMENTO DEL ARCHIVO GENERAL DEL CEU EXPOSICIÓN DE MOTIVOS El desarrollo e incremento de la actividad de nuestra Institución, en los distintos ámbitos que abarca, docente, investigador, pastoral y de

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

Qué tengo que hacer para cumplir con el Esquema Nacional de Seguridad? Qué puedo hacer si el plazo ya se ha pasado?

Qué tengo que hacer para cumplir con el Esquema Nacional de Seguridad? Qué puedo hacer si el plazo ya se ha pasado? Qué tengo que hacer para cumplir con el Esquema Nacional de Seguridad? Qué puedo hacer si el plazo ya se ha pasado? 1 Introducción ENS 2 Introducción El objetivo de la presentación es explicar en qué consiste

Más detalles

Sistemas de Gestión Ambiental según la Norma UNE en ISO 14001 GUÍA DEL TALLER

Sistemas de Gestión Ambiental según la Norma UNE en ISO 14001 GUÍA DEL TALLER Sistemas de Gestión Ambiental según la Norma UNE en ISO 14001 GUÍA DEL TALLER Ihobe, Noviembre 2008, Sociedad Pública del Departamento de Medio Ambiente y Ordenación del Território del Gobierno Vasco EDITA:

Más detalles

Ingeniería del Software III Gabriel Buades 2.002

Ingeniería del Software III Gabriel Buades 2.002 Ingeniería del Software III Gabriel Buades 2.002 Auditoría Informática 1 Concepto de auditoría Auditoría e Informática Auditoría Informática Planificación Organización y Administración Construcción de

Más detalles

DOCUMENTO DE SEGURIDAD

DOCUMENTO DE SEGURIDAD CÁMARA DE COMERCIO DE OCAÑA DOCUMENTO DE SEGURIDAD Ocaña Norte de Santander 2014 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto

Más detalles

------------------ =============

------------------ ============= SERVICIOS DE ASISTENCIA PARA LA COORDINACIÓN EN MATERIA DE SEGURIDAD Y SALUD EN LAS OBRAS: ACCESO A LA NUEVA TERMINAL DEL AEROPUERTO DE BARCELONA. RED DE CERCANÍAS DE BARCELONA ------------------ PLIEGO

Más detalles

GUÍA DE SEGURIDAD DE LAS TIC (CCN-STIC-851B)

GUÍA DE SEGURIDAD DE LAS TIC (CCN-STIC-851B) GUÍA DE SEGURIDAD DE LAS TIC (CCN-STIC-851B) IMPLEMENTACIÓN DEL ESQUEMA NACIONAL DE SEGURIDAD EN WINDOWS SERVER 2008 R2 SERVIDOR INDEPENDIENTE (NO CORE, NO MIEMBRO DE DOMINIO) SEPTIEMBRE 2014 Edita: Centro

Más detalles

RESUMEN LEGISLACIÓN PROTECCIÓN DATOS CARÁCTER PERSONAL (LOPD)

RESUMEN LEGISLACIÓN PROTECCIÓN DATOS CARÁCTER PERSONAL (LOPD) TECNOLOGÍA Y DIRECCIÓN, S.L. N.I.F. B96999107 Web: www.tyd.es RESUMEN LEGISLACIÓN PROTECCIÓN DATOS CARÁCTER PERSONAL (LOPD) Resumen de obligaciones y sanciones La Constitución Española establece en su

Más detalles

MANUAL DE SEGURIDAD Y SALUD EN EL TRABAJO

MANUAL DE SEGURIDAD Y SALUD EN EL TRABAJO EMPRESA DEL SECTOR DEL TRANPORTE MANUAL DE SEGURIDAD Y SALUD EN EL TRABAJO COPIA Nº ENTREGADO A: COPIA CONTROLADA COPIA NO CONTROLADA Revisión RR (MM-AA) 1 SECCIÓN 01. REQUISITOS GENERALES INDICE SEC.

Más detalles

Manual de Medio Ambiente / ISO 14004:2004

Manual de Medio Ambiente / ISO 14004:2004 Manual de Medio Ambiente / 2012 ISO 14004:2004 ÍNDICE 1. DECLARACIÓN DE AUTORIDAD 2. NORMAS Y DOCUMENTOS CONSULTADOS 3. REVISIONES Y MODIFICACIONES DEL MANUAL DE MEDIO AMBIENTE 4. REQUISITOS DEL SISTEMA

Más detalles

PROCEDIMIENTO GENERAL DE CERTIFICACION DE SISTEMAS DE LA CALIDAD PARA SUMINISTRADORES AEROSPACIALES

PROCEDIMIENTO GENERAL DE CERTIFICACION DE SISTEMAS DE LA CALIDAD PARA SUMINISTRADORES AEROSPACIALES PROCEDIMIENTO GENERAL DE CERTIFICACION DE SISTEMAS DE LA CALIDAD PARA SUMINISTRADORES Elaborado por Luis Tatay Gómez Firma/ Fecha: 26-02-07 Revisado por: Alfonso Iglesias Firma/Fecha: 27-02-07 Aprobado

Más detalles

PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL (LOPD)

PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL (LOPD) PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL (LOPD) Resumen de obligaciones y sanciones Ley Orgánica 15/1999, del 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) La Constitución Española

Más detalles

Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica

Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica MINISTERIO DE LA PRESIDENCIA Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (Incluye corrección de errores publicada

Más detalles

Real Decreto, 1720/2007, de 21 de diciembre

Real Decreto, 1720/2007, de 21 de diciembre PRESENTACION: La normativa vigente en materia de protección de datos, se articula bajo la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, de 13 de Diciembre y el nuevo Real Decreto, 1720/2007,

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

Mejora de la Seguridad de la Información para las Pymes Españolas

Mejora de la Seguridad de la Información para las Pymes Españolas Mejora de la Seguridad de la Información para las Pymes Españolas Noviembre 2010 1 Objetivos Los objetivos de esta jornada de presentación a las Empresas participantes en PYMESecurity son: Presentar la

Más detalles

Gestión de Proyectos Software

Gestión de Proyectos Software Gestión de Proyectos Software Tema 5. Riesgos Riesgos de Seguridad - MAGERIT Carlos Blanco Universidad de Cantabria Objetivos Profundizar en la Ges0ón de Riesgos que afectan a la dimensión de Seguridad

Más detalles

REGLAMENTO INTERNO DE CONDUCTA EN MATERIAS RELATIVAS A LOS MERCADOS DE VALORES

REGLAMENTO INTERNO DE CONDUCTA EN MATERIAS RELATIVAS A LOS MERCADOS DE VALORES REGLAMENTO INTERNO DE CONDUCTA EN MATERIAS RELATIVAS A LOS MERCADOS DE VALORES - INDICE - - I. DEFINICIONES II. DE LA REALIZACIÓN DE OPERACIONES PERSONALES 2.1 AMBITO SUBJETIVO DE APLICACIÓN 2.2 AMBITO

Más detalles

GUÍA TÉCNICA PARA LA ELABORACIÓN DEL PLAN DE PREVENCION Y PROCEDIMIENTOS DE GESTIÓN DE LA PREVENCIÓN DE RIESGOS LABORALES.

GUÍA TÉCNICA PARA LA ELABORACIÓN DEL PLAN DE PREVENCION Y PROCEDIMIENTOS DE GESTIÓN DE LA PREVENCIÓN DE RIESGOS LABORALES. ADMINISTRACIÓN DE LA JUNTA DE ANDALUCÍA GUÍA TÉCNICA PARA LA ELABORACIÓN DEL PLAN DE PREVENCION Y PROCEDIMIENTOS DE GESTIÓN DE LA PREVENCIÓN. Edición: 1 Fecha: 13.11.2012 Página 1 de 37 GUÍA TÉCNICA PARA

Más detalles

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI POWERED BY AUDISEC www.audisec.es Febrero de 2010 ÍNDICE 1. PRESENTACIÓN...

Más detalles

Medidas de Nivel Medio

Medidas de Nivel Medio Capítulo 6 Medidas de Nivel Medio Medidas de seguridad especiales Para los sistemas de información que traten, almacenen o transmitan datos de carácter personal clasificados dentro de los datos de nivel

Más detalles

Formación Auditores Internos según UNE- EN ISO 9001 en Centrales de Esterilización de SALUD

Formación Auditores Internos según UNE- EN ISO 9001 en Centrales de Esterilización de SALUD instrumentos científicos, s.a Formación Auditores Internos según UNE- EN ISO 9001 en Centrales de Esterilización de SALUD Marta Fernández Ezquerro (marta.fernandez@icsa.es) Área Consultoría de Instrumentos

Más detalles

MANUAL DE TAREAS. Dirección Área Técnico Médica Dirección Área Administrativa Área Comunicación y Relaciones Públicas Asesores y Adscriptos

MANUAL DE TAREAS. Dirección Área Técnico Médica Dirección Área Administrativa Área Comunicación y Relaciones Públicas Asesores y Adscriptos MANUAL DE TAREAS CARGO: Supervisa a: DIRECTOR GENERAL Comisión Honoraria Administradora Dirección Área Técnico Médica Dirección Área Administrativa Área Comunicación y Relaciones Públicas Asesores y Adscriptos

Más detalles

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL 13967 REAL DECRETO 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. El artículo 18.4 de la Constitución

Más detalles

ACUERDO DEL CONSEJO DE GOBIERNO QUE APRUEBA LA POLÍTICA DE GESTIÓN DE DOCUMENTOS ELECTRÓNICOS EN LA UNIVERSIDAD PÚBLICA DE NAVARRA

ACUERDO DEL CONSEJO DE GOBIERNO QUE APRUEBA LA POLÍTICA DE GESTIÓN DE DOCUMENTOS ELECTRÓNICOS EN LA UNIVERSIDAD PÚBLICA DE NAVARRA ACUERDO DEL CONSEJO DE GOBIERNO QUE APRUEBA LA POLÍTICA DE GESTIÓN DE DOCUMENTOS ELECTRÓNICOS EN LA UNIVERSIDAD PÚBLICA DE NAVARRA La Universidad Pública de Navarra precisa una política de gestión de documentos

Más detalles

Programa de Formación de Auditores

Programa de Formación de Auditores Programa de Formación de Auditores Sistemas de Gestión de la Calidad Módulo 2 Sistema de Gestión de la Calidad Requisitos Objetivo del módulo Comprender: Los requisitos de la norma ISO 9001:2008 para el

Más detalles

Página 1 de 1. copyright 2005 C. Terré, 11-19 08017 Barcelona T. 93 253 53 30 F. 93 253 53 31 central@ecacertifiacion.com www.ecacertifiacion.

Página 1 de 1. copyright 2005 C. Terré, 11-19 08017 Barcelona T. 93 253 53 30 F. 93 253 53 31 central@ecacertifiacion.com www.ecacertifiacion. PROTOCOLO MARCA ECA CERT-AEFOL Requisitos técnicos y de proceso de evaluación para la marca ECA CERT-AEFOL de calidad de servicio de formación e-learning Página 1 de 1 ÍNDICE 1. OBJETO Y ÁMBITO DE APLICACIÓN

Más detalles

LEY DE PROTECCIÓN DE DATOS: EMPRESA PRIVADA

LEY DE PROTECCIÓN DE DATOS: EMPRESA PRIVADA LEY DE PROTECCIÓN DE DATOS: EMPRESA PRIVADA DOCUMENTO DE SEGURIDAD Módulo 2/ Unidad 3 ÍNDICE DE CONTENIDOS 1.- INTRODUCCIÓN... 3 2.- OBJETIVOS... 3 3.- JUSTIFICACIÓN... 5 4.- CONTENIDO... 6 5.- FORMA DEL

Más detalles

CAPITULO IV LA SUPERVISION EN EL PROCESO DE AUDITORÍA

CAPITULO IV LA SUPERVISION EN EL PROCESO DE AUDITORÍA 1. Concepto CAPITULO IV LA SUPERVISION EN EL PROCESO DE AUDITORÍA La supervisión en forma general es la habilidad para trabajar con un grupo de personas sobre las que se ejerce autoridad, encaminada a

Más detalles

Módulo III: Implantación de la Norma ISO 14001 en empresas

Módulo III: Implantación de la Norma ISO 14001 en empresas Módulo III: Implantación de la Norma ISO 14001 en empresas Módulo III: Implantación de la Norma ISO 14001 en empresas 1. INTRODUCCIÓN Hoy en día nos encontramos ante una situación de concienciación medioambiental

Más detalles

REGLAMENTO PARA EL USO Y OPERACIÓN DE LA FIRMA ELECTRÓNICA AVANZADA EN EL INSTITUTO FEDERAL ELECTORAL.

REGLAMENTO PARA EL USO Y OPERACIÓN DE LA FIRMA ELECTRÓNICA AVANZADA EN EL INSTITUTO FEDERAL ELECTORAL. 1 REGLAMENTO PARA EL USO Y OPERACIÓN DE LA FIRMA ELECTRÓNICA AVANZADA EN EL INSTITUTO FEDERAL CAPÍTULO I DISPOSICIONES GENERALES Artículo. 1. El presente Reglamento tiene por objeto regular: a) La emisión,

Más detalles

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD Versión 1.0 Abril 2005 INTRODUCCIÓN El artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter

Más detalles

5. Elementos básicos de gestión de la prevención de riesgos

5. Elementos básicos de gestión de la prevención de riesgos 5. Elementos básicos de gestión de la prevención de riesgos Organismos públicos relacionados con la seguridad y salud en el trabajo En Seguridad y Salud Laboral son de especial importancia algunos organismos

Más detalles

MODELO DE CLÁUSULA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y MEDIDAS DE SEGURIDAD

MODELO DE CLÁUSULA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y MEDIDAS DE SEGURIDAD MODELO DE CLÁUSULA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y MEDIDAS DE SEGURIDAD 1. Prestaciones y propiedad de los datos En el contexto de la prestación de servicios encargada por..y con la finalidad

Más detalles

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD Versión 1.0 Abril 2005 INTRODUCCIÓN El artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter

Más detalles

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES Artículo 1.- Ámbito de aplicación y fines. El presente Reglamento

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

BOLETÍN OFICIAL DEL ESTADO

BOLETÍN OFICIAL DEL ESTADO Núm. 25 Viernes 29 de enero de 2010 Sec. I. Pág. 8089 I. DISPOSICIONES GENERALES MINISTERIO DE LA PRESIDENCIA 1330 Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad

Más detalles

CUESTIONARIO S.V.S SINTEX S.A. N Registro 27 ADOPCION SI NO PRÁCTICA 1. DEL FUNCIONAMIENTO DEL DIRECTORIO

CUESTIONARIO S.V.S SINTEX S.A. N Registro 27 ADOPCION SI NO PRÁCTICA 1. DEL FUNCIONAMIENTO DEL DIRECTORIO CUESTIONARIO S.V.S SINTE S.A. N Registro 27 PRÁCTICA 1. DEL FUNCIONAMIENTO DEL DIRECTORIO ADOPCION SI NO A. De la adecuada y oportuna información del directorio, acerca de los negocios y riesgos de la

Más detalles

DOCUMENTO DE POLITICA DE GESTIÓN DE DOCUMENTOS ELECTRÓNICOS (Aprobado en Consejo de Gobierno de 13 de febrero de 2014)

DOCUMENTO DE POLITICA DE GESTIÓN DE DOCUMENTOS ELECTRÓNICOS (Aprobado en Consejo de Gobierno de 13 de febrero de 2014) DOCUMENTO DE POLITICA DE GESTIÓN DE DOCUMENTOS ELECTRÓNICOS (Aprobado en Consejo de Gobierno de 13 de febrero de 2014) Índice 1. INTRODUCCIÓN 2. OBJETO Y ÁMBITO DE APLICACIÓN 3. DATOS IDENTIFICATIVOS DE

Más detalles

Nota de Información al cliente ISO 26000 Proceso de auditoría

Nota de Información al cliente ISO 26000 Proceso de auditoría Nota de Información al cliente ISO 26000 Proceso de auditoría La presente nota explica las principales fases del proceso de certificación y auditoría de Sistemas de Gestión de Responsabilidad Social según

Más detalles

Memoria de actividades, comisión de auditoría y

Memoria de actividades, comisión de auditoría y Memoria de actividades, comisión de auditoría y CUMPLIMIENTO DE IBERDROLA DISTRIBUCIÓN ELÉCTRICA, S.A.U. MEMORIA DE ACTIVIDADES COMISIÓN DE AUDITORÍA Y CUMPLIMIENTO DE IBERDROLA DISTRIBUCIÓN ELÉCTRICA,

Más detalles

BOLETÍN OFICIAL DEL ESTADO

BOLETÍN OFICIAL DEL ESTADO Núm. 178 Jueves 26 de julio de 2012 Sec. III. Pág. 53776 III. OTRAS DISPOSICIONES MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS 10048 Resolución de 28 de junio de 2012, de la Secretaría de Estado

Más detalles

NORMA TÉCNICA DE AUDITORÍA SOBRE RELACIÓN ENTRE AUDITORES

NORMA TÉCNICA DE AUDITORÍA SOBRE RELACIÓN ENTRE AUDITORES Resolución de 27 de junio de 2011 del Instituto de Contabilidad y Auditoría de Cuentas, por la que se publica la Norma Técnica de Auditoría sobre relación entre auditores. En el desarrollo de un trabajo

Más detalles

GUÍA DE SEGURIDAD (CCN-STIC-819) (BORRADOR) ESQUEMA NACIONAL DE SEGURIDAD CONTRATACIÓN EN EL ENS

GUÍA DE SEGURIDAD (CCN-STIC-819) (BORRADOR) ESQUEMA NACIONAL DE SEGURIDAD CONTRATACIÓN EN EL ENS GUÍA DE SEGURIDAD (CCN-STIC-819) (BORRADOR) ESQUEMA NACIONAL DE SEGURIDAD CONTRATACIÓN EN EL ENS DICIEMBRE 2012 Edita: Editor y, 2012 NIPO: 002-12-063-2 Tirada: 1000 ejemplares Fecha de Edición: diciembre

Más detalles

Política de Seguridad de la Información de la Universidad de Sevilla

Política de Seguridad de la Información de la Universidad de Sevilla Política de Seguridad de la Información de la Universidad de Sevilla 0. Aprobación y entrada en vigor Texto aprobado por Acuerdo del Consejo de Gobierno de fecha 26 de febrero de 2014. Esta Política de

Más detalles

MINISTERIO DE JUSTICIA

MINISTERIO DE JUSTICIA BOE núm. 151 Viernes 25 junio 1999 24241 Artículo 19. Entrada en vigor y duración. 1. El presente Acuerdo se aplicará provisionalmente a partir de la fecha de su firma y entrará en vigor en la fecha de

Más detalles

GUIA DE ACTUACIÓN SOBRE CLÁUSULAS ADICIONALES EN LAS CARTAS DE ENCARGO 1

GUIA DE ACTUACIÓN SOBRE CLÁUSULAS ADICIONALES EN LAS CARTAS DE ENCARGO 1 INSTITUTO DE CENSORES JURADOS DE CUENTAS DE ESPAÑA GUÍA DE ACTUACIÓN 16R GUIA DE ACTUACIÓN SOBRE CLÁUSULAS ADICIONALES EN LAS CARTAS DE ENCARGO 1 Abril de 2008 (revisada en mayo de 2011) 1 La guía debe

Más detalles

MODELO DE DOCUMENTO DE SEGURIDAD DE LA EMPRESA

MODELO DE DOCUMENTO DE SEGURIDAD DE LA EMPRESA MODELO DE DOCUMENTO DE SEGURIDAD DE LA EMPRESA Fecha ultima actualización del Documento de Seguridad Documento Seguridad elaborado por [Responsable Fichero/ Encargado del tratamiento/ Ambos] Versión MODELO

Más detalles

REGLAMENTO INTERNO DE CONDUCTA EN MATERIAS RELATIVAS A LOS MERCADOS DE VALORES GENERAL DE ALQUILER DE MAQUINARIA, S.A.

REGLAMENTO INTERNO DE CONDUCTA EN MATERIAS RELATIVAS A LOS MERCADOS DE VALORES GENERAL DE ALQUILER DE MAQUINARIA, S.A. REGLAMENTO INTERNO DE CONDUCTA EN MATERIAS RELATIVAS A LOS MERCADOS DE VALORES DE GENERAL DE ALQUILER DE MAQUINARIA, S.A. 25 de Febrero 2009 ÍNDICE PREÁMBULO... 3 CAPÍTULO PRIMERO... 4 Artículo 1.- Ámbito

Más detalles

ANEXO CRITERIOS DE IMPLANTACIÓN, ORGANIZACIÓN Y USO DE LA FIRMA ELECTRÓNICA EN EL AYUNTAMIENTO DE MADRID

ANEXO CRITERIOS DE IMPLANTACIÓN, ORGANIZACIÓN Y USO DE LA FIRMA ELECTRÓNICA EN EL AYUNTAMIENTO DE MADRID ANEXO CRITERIOS DE IMPLANTACIÓN, ORGANIZACIÓN Y USO DE LA FIRMA ELECTRÓNICA EN EL AYUNTAMIENTO DE MADRID 1 - Cuestiones generales: la firma electrónica en el Ayuntamiento de Madrid. 1.1 - Certificados

Más detalles

I. Información General del Procedimiento

I. Información General del Procedimiento PR-DGSE-5 Octubre 211 I. Información General del Objetivo: Describir los pasos a seguir para la realización de las al Sistema de Gestión de Calidad de la, del MINERD. Alcance: Este procedimiento aplica

Más detalles

BOLETÍN OFICIAL DEL ESTADO

BOLETÍN OFICIAL DEL ESTADO Núm. 55 Miércoles 5 de marzo de 2014 Sec. III. Pág. 21241 III. OTRAS DISPOSICIONES MINISTERIO DE SANIDAD, SERVICIOS SOCIALES E IGUALDAD 2378 Orden SSI/321/2014, de 26 de febrero, por la que se aprueba

Más detalles

PREGUNTAS FRECUENTES ISO 9001:2008

PREGUNTAS FRECUENTES ISO 9001:2008 PREGUNTAS FRECUENTES ISO 9001:2008 Recopilación de preguntas y dudas para la interpretación e implantación de la norma ISO 9001:2008 Sistemas de Gestión de Calidad. Requisitos. Ignacio Gómez http://hederaconsultores.blogspot.com

Más detalles

ESQUEMA NACIONAL DE SEGURIDAD

ESQUEMA NACIONAL DE SEGURIDAD ESQUEMA NACIONAL DE SEGURIDAD Cómo afecta el E.N.S. a los ISPs que prestan servicios a las Administraciones públicas? Estrategia Española de Ciberseguridad SIN CLASIFICAR Madrid, mayo de 2012 Entornos

Más detalles

GUÍA DE SEGURIDAD (CCN-STIC 825) ESQUEMA NACIONAL DE SEGURIDAD CERTIFICACIONES 27001

GUÍA DE SEGURIDAD (CCN-STIC 825) ESQUEMA NACIONAL DE SEGURIDAD CERTIFICACIONES 27001 GUÍA DE SEGURIDAD (CCN-STIC 825) ESQUEMA NACIONAL DE SEGURIDAD CERTIFICACIONES 27001 NOVIEMBRE 2013 Edita: Centro Criptológico Nacional, 2013 NIPO: 002-13-052-X Fecha de Edición: noviembre de 2013 José

Más detalles

2. Las funciones de control interno y auditoría informáticos.

2. Las funciones de control interno y auditoría informáticos. TEMA 9 AUDITORIA DE PROYECTO 1. Auditoría: Procedimiento reglado para analizar cualitativamente y cuantitativamente la eficiencia de un proceso, una tarea o un sistema. Las auditorias pueden ser internas

Más detalles

INFORME DE AUDITORIA. info@conversia.es T. 902 877 192 F. 902 877 042 www.conversia.es

INFORME DE AUDITORIA. info@conversia.es T. 902 877 192 F. 902 877 042 www.conversia.es INFORME DE AUDITORIA info@conversia.es T. 902 877 192 F. 902 877 042 www.conversia.es 0 Informe de Auditoría Índice General A. ALCANCE DE LOS TRABAJOS B. ADECUACIÓN DE LAS MEDIDAS Y CONTROLES AL REGLAMENTO

Más detalles

Política de Gestión de Documentos Electrónicos del Ministerio de Educación, Cultura y Deporte (MECD). Guía de Preguntas Frecuentes (FAQ).

Política de Gestión de Documentos Electrónicos del Ministerio de Educación, Cultura y Deporte (MECD). Guía de Preguntas Frecuentes (FAQ). Política de Gestión de Documentos Electrónicos del Ministerio de Educación, Cultura y Deporte (MECD). Guía de Preguntas Frecuentes (FAQ). 1 Motivación de la Política Qué es una Política de Gestión de Documentos

Más detalles

Protección de Datos Personales

Protección de Datos Personales Cambios en la adaptación, Asesoramiento y Auditoría con respecto a la LOPD y su Reglamento de Desarrollo Abril de 2008 Índice Protección de Datos Personales Antecedentes en Protección de Datos Personales

Más detalles

Pliego de Prescripciones Técnicas para la contratación de los trabajos de tratamiento de las fotografías del Archivo del Banco de España.

Pliego de Prescripciones Técnicas para la contratación de los trabajos de tratamiento de las fotografías del Archivo del Banco de España. Secretaría General Marzo 2015 Pliego de Prescripciones Técnicas para la contratación de los trabajos de tratamiento de las fotografías del Archivo del Banco de España. 1/11 INDICE 1. Antecedentes 3 2.

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

METODOLOGIAS DE AUDITORIA INFORMATICA

METODOLOGIAS DE AUDITORIA INFORMATICA METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para

Más detalles

I. Disposiciones generales

I. Disposiciones generales 27918 I. Disposiciones generales Consejería de Turismo, Cultura y Deportes 4688 ORDEN de 20 de octubre de 2015, por la que se crea y regula la sede electrónica y registro electrónico del Departamento.

Más detalles